Вирус требует отправить СМС с кодом!!!
11-11-2009 03:18
к комментариям - к полной версии
- понравилось!
Этот пост посвящён не SEO (как предполагалось), а ещё одной проблеме юзеров - вирусы!!! =)
Пару дней назад следил очередную модификацию аденовируса, требующего отправку смс для активации ос. Смотрится это приблизительно так: вы подключаете ноутбук, происходит загрузка windows, и вот, в то время как вашему взгляду обязан отрекомендоваться рабочий стол выплывает окно с предотвращением: “Вы используете не версию ос, тем самым нарушаете и тд. и тп. и помочь вам может только активация windows через отправку sms”. На самом деле. Будет глупо, если вы вышлете смс, по причине того что никоторой активации не произойдет, вы только обогатите злоумышленников.
В то время как я в первый раз заметил эту заразу да постарался запустить оператор задач, но у меня ничего не вышло. После что я постановил перегрузиться в безопасный режим, но и тогда меня ожидала неудача, аденовирус продолжал мне иронично радоваться на экране монитора. В качестве следующей прикидки я применял загрузку в безопасном режиме с опорой командной строчки (жмем клавишу F8 при загрузке ОС). В этот раз прошло удачно. Первым делом я собрал в консоле “regedit”, к моей эйфории ничто не помешало пуску редактора реестра. В реестре надо было проглядеть две хворостины.
HKEY _ LOCAL _ MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN
HKEY _ CURRENT _ USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN
Конкретно в них содержится информация об автозагрузке. Ничего странного я в том месте не вырвал. Я продолжил свои розыски и пустился по адресу.
HKEY _ LOCAL _ MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONWINLOGON, по своему опыту знаю, что многие вирусы назначаются конкретно в том месте, именно в строковых параметрах shell и Userinit. Первый параметр смотрелся полностью нормально в том месте была одна запись “explorer.exe”, а вот во втором, кроме стандартного “C: WINDOWSSYSTEM32USERINIT.EXE” через запятую было написанно «C:Documents and SettingsAll UsersApplication Datablocker.exe» возможно и другой путь в зависимости от аденовируса). Удалив все избыточное, я засекретил техред реестра и вбил в командной строчке “explorer.exe.” Запустился проводник, и я проследовал, по указанному в каталоге пути, “именно: Documents and Settingsall Usersapplication Data”. Сооружает добавить, исходя из этого она не будет отображаться, разве не трансформировать соответствующим образом наладки отображения папок. В Application Data мною было обнаружено и удалено два вредоносных файла blocker.exe и blocker.bin. Перезагрузив компьютер в обычном рабочем режиме, никаких требований отправки смс уже не возникало. Существуют другие варианты этого вируса, имеющие другое название, и располагающиеся в других каталогах, например "C:Documents and Settingsимя пользователяLocal SettingsTemporary Internet Files" или "C:Documents and Settingsимя пользователяLocal SettingsTemp".
На данный миг тоже существует еще одна категория аналогичных вирусов, отличие их заключается в том, что они не блокируют ноутбуки, а вылезают при пуске браузера, маскируясь под хвалебный порно баннер. При этом они затворяют большую часть телеэкрана, мешая работе в сети интернет. Их выдает то, что они загружаются даже на ноутбуках, не имеющих доступ в инет. В моем прецеденте вирус прописался в каталоге по адресу:
“HKEY _ LOCAL _ MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN”, а сами вредоносные файлы разместились по адресам:
"C:Documents and SettingsadminLocal SettingsTemporary Internet Filesk.php"
"C:Documents and SettingsMyLoginApplication Dataybuuk.exe"
После уничтожения этих файлов с компьютера неувязка удачно решается.
=)
вверх^
к полной версии
понравилось!
в evernote
Этот пост посвящён не SEO (как предполагалось), а ещё одной проблеме юзеров - вирусы!!! =)
Пару дней назад следил очередную модификацию аденовируса, требующего отправку смс для активации ос. Смотрится это приблизительно так: вы подключаете ноутбук, происходит загрузка windows, и вот, в то время как вашему взгляду обязан отрекомендоваться рабочий стол выплывает окно с предотвращением: “Вы используете не версию ос, тем самым нарушаете и тд. и тп. и помочь вам может только активация windows через отправку sms”. На самом деле. Будет глупо, если вы вышлете смс, по причине того что никоторой активации не произойдет, вы только обогатите злоумышленников.
В то время как я в первый раз заметил эту заразу да постарался запустить оператор задач, но у меня ничего не вышло. После что я постановил перегрузиться в безопасный режим, но и тогда меня ожидала неудача, аденовирус продолжал мне иронично радоваться на экране монитора. В качестве следующей прикидки я применял загрузку в безопасном режиме с опорой командной строчки (жмем клавишу F8 при загрузке ОС). В этот раз прошло удачно. Первым делом я собрал в консоле “regedit”, к моей эйфории ничто не помешало пуску редактора реестра. В реестре надо было проглядеть две хворостины.
HKEY _ LOCAL _ MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN
HKEY _ CURRENT _ USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN
Конкретно в них содержится информация об автозагрузке. Ничего странного я в том месте не вырвал. Я продолжил свои розыски и пустился по адресу.
HKEY _ LOCAL _ MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTVERSIONWINLOGON, по своему опыту знаю, что многие вирусы назначаются конкретно в том месте, именно в строковых параметрах shell и Userinit. Первый параметр смотрелся полностью нормально в том месте была одна запись “explorer.exe”, а вот во втором, кроме стандартного “C: WINDOWSSYSTEM32USERINIT.EXE” через запятую было написанно «C:Documents and SettingsAll UsersApplication Datablocker.exe» возможно и другой путь в зависимости от аденовируса). Удалив все избыточное, я засекретил техред реестра и вбил в командной строчке “explorer.exe.” Запустился проводник, и я проследовал, по указанному в каталоге пути, “именно: Documents and Settingsall Usersapplication Data”. Сооружает добавить, исходя из этого она не будет отображаться, разве не трансформировать соответствующим образом наладки отображения папок. В Application Data мною было обнаружено и удалено два вредоносных файла blocker.exe и blocker.bin. Перезагрузив компьютер в обычном рабочем режиме, никаких требований отправки смс уже не возникало. Существуют другие варианты этого вируса, имеющие другое название, и располагающиеся в других каталогах, например "C:Documents and Settingsимя пользователяLocal SettingsTemporary Internet Files" или "C:Documents and Settingsимя пользователяLocal SettingsTemp".
На данный миг тоже существует еще одна категория аналогичных вирусов, отличие их заключается в том, что они не блокируют ноутбуки, а вылезают при пуске браузера, маскируясь под хвалебный порно баннер. При этом они затворяют большую часть телеэкрана, мешая работе в сети интернет. Их выдает то, что они загружаются даже на ноутбуках, не имеющих доступ в инет. В моем прецеденте вирус прописался в каталоге по адресу:
“HKEY _ LOCAL _ MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN”, а сами вредоносные файлы разместились по адресам:
"C:Documents and SettingsadminLocal SettingsTemporary Internet Filesk.php"
"C:Documents and SettingsMyLoginApplication Dataybuuk.exe"
После уничтожения этих файлов с компьютера неувязка удачно решается.
=)
Вы сейчас не можете прокомментировать это сообщение.
Дневник Вирус требует отправить СМС с кодом!!! | DezzGen - Дневник DezzGen |
Лента друзей DezzGen
/ Полная версия
Добавить в друзья
Страницы:
раньше»